ERM olarak da adlandırılan kurumsal risk yönetimi, oldukça basit bir tanımı ve çok daha karmaşık bir uygulaması olan bir kavramdır. Bir şirket içindeki risk yönetimi yöntemlerini - riskleri ve fırsatları belirlemek - tanımlayan ticari bir finansal terimdir. Bu konsept geniştir ve büyük şirketler için oldukça karmaşık olabilir. Amerika Birleşik Devletleri'ndeki Sarbanes-Oxley Yasası ve daha sonra Uluslararası Risk Yönetimi Uluslararası Standardı (ISO 31000) öncesinde, kurumsal risk yönetimi büyük ölçüde isteğe bağlıydı ve birçok işletme riskleri yönetmek için stratejiler kullanıyor olsa da, kılavuzlar çok daha belirsizdi. Kurumsal risk yönetiminin yönleri arasında iş hedeflerini belirleme ve bunlara ulaşmak için stratejik bir plan oluşturma; Planın veya planın bölümlerinin ne kadar başarılı olacağının değerlendirilmesi; ve bir cevap ve ilerleme değerlendirme planı oluşturmak.
Stratejik planlama, kurum çapında planın oluşturulması ve uygulanması olarak tanımlanabilir; bu, yalnızca kurum tarafından belirlenen hedeflere ulaşılmasına odaklanan kararlar almasını sağlar. İş dünyasında, iş tarafından belirlenen hedeflere maksimum ulaşmaya ulaşmak için tipik olarak riskler alınmalıdır. Kurumsal risk yönetimi, işletmelerin ve kuruluşların bu riskleri nasıl yönettiğidir. Bir fırsata risk almanın bir kısmı, ödeme yapamayacağını bilmek; Yatırım yapılan tüm zaman, para ve kaynaklar kaybedilebilir. Örneğin, Sarbanes-Oxley Yasası, şirketlerin kabul edilebilir bir risk seviyesinin ne olduğunu göz önünde bulundurmaları için denetim yasalarını yürürlüğe koyar. Denetim yasalarının amacı paydaşları korumak ve bir kurum içindeki yolsuzluğun onarılamaz zarar vermeden önce durdurulabileceğinin sağlanmasına yardımcı olmaktır.
Bir işletmenin karşılaşabileceği yaygın risk türleri örnekleri arasında kredi, sigorta, yasal, muhasebe, denetim, kalite ve diğer risk türleri sayılabilir. Sarbanes-Oxley Yasası, ABD şirketlerinin yürürlükte olan bir kurumsal risk yönetim sistemine sahip olmalarını gerektiriyor ve böylece bir dizi çerçeve oluşturuldu. Amerika Birleşik Devletleri'ndeki iki ana çerçeve Kaza Aktüerya Derneği (CAS) ve Sponsor Kuruluşlar Komitesi (COSO) tarafından bir araya getirildi. COSO'nun çerçevesi daha yaygın olarak benimsenmiştir. Kurumsal risk yönetiminin, tüm şirket tarafından paylaşılması gereken ve şirket içindeki kişilerin kabul edilebilir risk seviyesini bilmesi gereken bir iç kontrol süreci olduğunu belirtir. CAS'ın ana hatları, şirketin paydaşları için değerinin arttırılması için risk yönetimine odaklanmıştır. İş dünyasında meydana gelen birçok olumsuz olay sayesinde, kanun koyucular ve iş adamları, bir örgütün tüm bölümlerini içeren bir kurumsal risk yönetim sisteminin, paydaşları korumanın ve böylece kendilerini korumanın en iyi yolu olduğunun farkına varmışlardır.
